شماره CVE

CVE یا Common Vulnerabilities and Exposures در واقع شناسنامه منحصر به فردیست که به آسیب پذیری امنیتی شناسایی شده تخصیص داده می شود ، به عبارتی برای هر آسیب پذیری امنیتی در حوزه فناوری اطلاعات، یک شناسنامه ای تهیه می شود که تمام جزئیات و شرح آسیب پذیری و اصلاحیه های مربوط به آن در آن اشاره شده است. این شناسنامه یا CVE توسط شرکت غیردولتی MITRE که مسئولیت ثبت و درج و تکمیل اطلاعات هر آسیب پذیری را برعهده دارد ایجاد می‌گردد.

نحوه پیدا کردن Patch مرتبط در متالینک اوراکل

همانطور که در توضیحات ارائه شد هر شماره CVE به یک آسیب پذیری در حوزه آی تی اشاره دارد کمپانی‌های نرم‌افزاری رفع این آسیب پذیری ها را در قالب PATCH در اختیار کاربران خود قرار می‌دهند. هر PATCH می‌تواند باگ‌های امنیتی را رفع کرده، ویژگی اضافه کند و یا BUGهای منطقی را برطرف کند.

در اینجا یک مثال واقعی را با هم مرور میکنیم. طبق درخواست واحد امنیت شماره CVE های زیر باید در محصول مورد نظر اعمال شوند:

از آنجایی که هر CVE منحصر به فرد است شماره آسیب پذیری CVE-2019-2742 را که مرتبط با محصول Oracle BI Publisher و کامپوننت Web Service API است را کپی می‌کنیم و در قسمت داکیومنت های ساپورت اوراکل آن را سرچ می‌کنیم:

مقاله مرتبط به سال 2019 که آسیب پذیری در آن رخ داده را باز می‌کنیم:

در اینجا توجه به این نکته ضروری است که اوراکل توضیحات مرتبط با رفع آسیب پذیری ها را همواره در داکیومنتهایی با عنوان Patch Availability Document یا PAD قرار می‌دهد.

در صفحه داکیومنت شماره آسیب پذیری را سرچ میکنیم: (CVE-2019-2742)

در جدول زیر شماره پچ‌های مرتبط با آسیب پذیریهای CVE-2019-2742 و CVE-2015-9251 نوشته شده است:

همچنین شماره پچ مرتبط با آسب پذیری CVE-2019-1559 نیز در همین داکیومنت درج شده است:

برای پیدا کردن شماره پچ‌های آسیب پذیری شماره CVE-2016-7103 و CVE-2018-0734 به صفحه سرچ داکیومنتها برمیگردیم و شماره آسیب پذیری CVE-2016-7103 را در آن سرچ می‌کنیم:

طبق نکته گفته شده داکیومنت PAD را باز می‌کنیم و شماره آسیب پذیری را جستجو می‌کنیم:

در ستون Patch شما قادر به مشاهده شماره پچ این آسیب پذیری هستید. شماره آسیب پذیری  CVE-2018-0734 را در این مستند جستجو می‌کنیم و نتیجه ای پیدا نمی‌شود به ادامه کار برمیگردیم.

طبق روال شروع به جستجوی شماره آسیب پذیری CVE-2018-0734 در قسمت داکیومنت می‌کنیم:

نکته: در انتهای شماره آسیب پذیری کلمه PAD‌ را اضافه می‌کنیم تا پیدا کردن داکیومنت راحتتر گردد.

در داکیومنت فوق شروع به جستجوی شماره آسیب پذیری می‌کنیم:

نکته: ممکن است از یک شماره آسیب پذیری چند Patch در دسترس باشد این مورد به این علت است که رفع یک آسیب پذیری ممکن است در چند کامپوننت انجام شده باشد در این موارد توصیه می‌شود PSU به طور کامل بر روی محصول Patch شود تا یکپارچگی Patch از بین نرود. کماکان ادمین متخصص هر محصول باید در مورد نحوه اپلای Patch در کامپوننتهای مختلف با توجه به دید خود از اپلیکیشن و سازمان اقدام لازم را انجام دهد.